漏洞简述:
漏洞是12月9日曝出来的,如果发现日志内容中包含关键字 ${},其包含的内容会当做变量来进行替换,导致攻击者可以任意执行命令。
解决方案:
① 将版本升级至2.15.0-rc2版本
② 添加JVM参数-Dlog4j2.formatMsgNoLookups=true
③ 设置系统环境变量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS设置为true
④ 创建配置文件log4j2.component.properties,设置配置项log4j2.formatMsgNoLookups=true
建议:Status2、Druid、Dubbo、ElasticSearch、Redis、Kafka等开源项目都受影响,所以你的项目如果有用到如上应用,则即使你没有使用Log4j-2也会受到影响。
最后
以上就是怕黑裙子最近收集整理的关于Log4j-2远程代码执行漏洞解决方案的全部内容,更多相关Log4j-2远程代码执行漏洞解决方案内容请搜索靠谱客的其他文章。
本图文内容来源于网友提供,作为学习参考使用,或来自网络收集整理,版权属于原作者所有。
发表评论 取消回复